CVE-2026-63087 in oncallinformación

Resumen

por VulDB • 2026-07-16

Grafana OnCall hasta la versión 1.16.11 contiene una vulnerabilidad de acceso no autenticado que permite a los atacantes remotos obtener un PluginAuthToken válido enviando una solicitud POST al punto final interno de instalación del plugin, utilizando valores predeterminados codificados en duro (hardcoded) para stack_id y org_id presentes en el árbol de código fuente público. Los atacantes pueden aprovechar el token adquirido para autenticarse contra todos los puntos finales internos de la API, crear usuarios Admin arbitrarios a través de la ruta de arranque del encabezado user-context, revocar el token legítimo del plugin y redirigir las llamadas a la API OnCall-to-Grafana hacia un host controlado por el atacante sobrescribiendo grafana_url y api_token de la organización.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

VulnCheck

Reservar

2026-07-15

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379598

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!